Shell 筛选符合条件的 ELF 文件

0 运行环境

• 本机系统：Windows 10

• 虚拟机软件：Oracle VM VirtualBox 6

• 虚拟机系统：Ubuntu 18

1 引言 - 编译过程

我们知道在 CPU 上执行的是低级别的机器语言，从高级语言到低级别的机器语言是要经过 4 个编译过程，以 Linux 下 GCC 编译 C 语言程序的过程为例，

如下图所示:

1. 预处理：编译器将 C 源代码中的包含的头文件如stdio.h编译进来，替换宏。

   gcc -E hello.c -o hello.i

2. 编译：GCC 首先要检查代码的规范性、是否有语法错误等，以确定代码的实际要做的工作，在检查无误后，GCC 把代码翻译成汇编语言。

   gcc –S hello.i –o hello.s

3. 汇编：把编译阶段生成的 ”.s” 文件转成二进制目标代码。

   gcc –c hello.s –o hello.o

4. 链接：链接到库中，生成可执行文件。

   gcc hello.o –o hello

2 目标文件

目标代码（Object Code）：指编译器和汇编器处理源代码后所生成的机器语言目标代码

目标文件（Object File）：指包含目标代码的文件

2.1 三种目标文件形式

1. 可重定位目标文件（.o 文件）：包含二进制代码和数据，其形式可以和其他目标文件进行合并，创建一个可执行目标文件

2. 可执行目标文件（如 vi，gdb）：包含二进制代码和数据，可直接被加载器加载执行

3. 共享目标文件（.so 文件）：可被动态的加载和链接

3 ELF 文件

目标文件在不同的系统或平台上具有不同的命名格式。如下所示：

• DOS 操作系统 ：COM 格式，文件中仅包含代码和数据，且被加载到固定位置

– System V UNIX 早期版本：COFF 格式，文件中不仅包含代码和数据，还包含重定位信息、调试信息、符号表等其他信息，由一组严格定义的数据结构序列组成

– Windows：PE 格式（COFF的变种），称为可移植可执行（Portable Executable，简称PE）

– Linux 等类 UNIX：ELF 格式（COFF的变种），称为可执行可链接（Executable and Linkable Format，简称ELF）

ELF 文件即是 Linux 等类 UNIX 上的目标文件。

3.1 ELF 文件结构

ELF 文件提供了两种不同的视角，在汇编器和链接器看来，ELF 文件是由 Section Header Table 描述的一系列 Section 的集合，而执行一个 ELF 文件时，在加载器（Loader）看来它是由 Program Header Table 描述的一系列 Segment 的集合。

这 两种不同的视角对应两种视图，如下所示：

• 链接视图（被链接）：可重定位目标文件

• 执行视图（被执行）：可执行目标文件

常见的 ELF 文件大致结构 如下：

3.1.1 ELF 头部 - ELF Header

ELF 头部（ELF Header）：描述整个文件的组织结构。

3.1.2 程序头部表 - Program Header Table

程序头部表（Program Header Table）：描述文件中的各种 segments，用来告诉系统如何创建进程映像的。

3.1.3 节区/段区 - Section/segments

节区/段区（Section/segments）：segments 是从运行的角度来描述 ELF 文件，sections 是从链接的角度来描述 ELF文件，也就是说，在链接阶段，我们可以忽略 program header table 来处理此文件，在运行阶段可以忽略 section header table 来处理此程序。从图中我们也可以看出，segments 与 sections 是包含的关系，一个s egment 包含若干个 section。

3.1.4 节区头部表 - Section Header Table

节区头部表（Section Header Table）：包含了文件各个 section 的属性信息。描述节区的表，每个节区占一个项。

4 查看 ELF 文件内容

4.1 readelf

4.1.1 格式

readelf <option(s)> elf-file(s)

4.1.2 功能

用于显示读取 ELF 文件中信息。它用来显示一个或者多个 elf 格式的目标文件的信息，可以通过它的选项来控制显示哪些信息。

这里的 elf-file(s) 就表示那些被检查的文件。可以支持 32 位，64 位的 elf 格式文件，也支持包含 elf 文件的文档

4.1.3 选项

-a ：--all 显示全部信息,等价于 -h -l -S -s -r -d -V -A -I

-h ：--file-header 显示elf文件开始的文件头信息. 

-l ：--program-headers  ；--segments 显示程序头（段头）信息(如果有的话)。 

-S ：--section-headers  ；--sections 显示节头信息(如果有的话)。 

-g ：--section-groups 显示节组信息(如果有的话)。

-t ：--section-details 显示节的详细信息(-S的)。 

-s ：--syms  ；--symbols 显示符号表段中的项（如果有的话）。 

-e ：--headers 显示全部头信息，等价于: -h -l -S 

-n ：--notes 显示note段（内核注释）的信息。 

-r ：--relocs 显示可重定位段的信息。 

-u ：--unwind 显示unwind段信息。当前只支持IA64 ELF的unwind段信息。 

-d ：--dynamic 显示动态段的信息。 

-V ：--version-info 显示版本段的信息。 

-A ：--arch-specific 显示CPU构架信息。 

-D ：--use-dynamic 使用动态段中的符号表显示符号，而不是使用符号段。 

-x <number or name> ：--hex-dump=<number or name> 以16进制方式显示指定段内内容。number指定段表中段的索引,或字符串指定文件中的段名。 

-w[liaprmfFsoR]或者

-debugdump[=line,=info,=abbrev,=pubnames,=aranges,
=macro,=frames,=frames-interp,=str,=loc,=Ranges] 显示调试段中指定的内容。 

-I ：--histogram 显示符号的时候，显示bucket list长度的柱状图。 

-v ：--version 显示readelf的版本信息。 

-H ：--help 显示readelf所支持的命令行选项。 

-W ：--wide 宽行输出。

4.2 objdump

https://man.linuxde.net/objdump

5 Shell 筛选符合条件的 ELF 文件 代码

#! /bin/bash

#	功能：检测当前目录下的所有 ELF 文件中是否有敏感字， 将符合条件的 ELF 文件路径存入 result（nm,cat,readelf,objdump）
#	前置条件：
#		当前目录下的 sensitive.txt ： 敏感字字典
#	输出：
#		ELF ： 当前目录下所有 ELF 文件的路径
#		result ： 含有敏感字的 ELF 文件路径

# 筛选当前目录下所有 ELF 文件，并将文件路径存入 ELF
function findELF
{
	now_dir=$(cd $(dirname $0) && pwd)

	find $now_dir -type f -exec file {} \; | grep "\<ELF\>" | awk -F ':' '{print $1 }' > ELF
}

# 通过 cat 查找敏感字，将符合条件的 ELF 文件路径存入 result
function findSensitiveBy_cat
{
	cat $1 | while read fileNameLine
	do
		cat sensitive.txt | while read sensitiveLine
		do
			if cat $fileNameLine | grep $sensitiveLine
			then
			 	printf "cat match sensitivefileName is %s\n" $fileNameLine >> sensitiveResult
				#$fileNameLine >> result
			fi
		done
	done
}

# 通过 nm 查找敏感字，将符合条件的 ELF 文件路径存入 result
function findSensitiveBy_nm
{
    cat $1 | while read fileNameLine
    do
        cat sensitive.txt | while read sensitiveLine
        do
            if nm $fileNameLine | grep $sensitiveLine
            then

				printf "nm match sensitivefileName is %s\n" $fileNameLine >> sensitiveResult
                # 错误代码 此处会打印出匹配到的字符串 为什么？
				#$fileNameLine >> result
            fi
        done
    done
}

# 通过 readelf 查找敏感字，将符合条件的 ELF 文件路径存入 result
function findSensitiveBy_readelf
{
    cat $1 | while read fileNameLine
    do
        cat sensitive.txt | while read sensitiveLine
        do
            if readelf -a $fileNameLine | grep $sensitiveLine
            then
				printf "readelf match sensitivefileName is %s\n" $fileNameLine >> sensitiveResult
                #$fileNameLine > result
            fi
        done
    done
}

# 通过 objdump 查找敏感字，将符合条件的 ELF 文件路径存入 result
function findSensitiveBy_objdump
{
    cat $1 | while read fileNameLine
    do
        cat sensitive.txt | while read sensitiveLine
        do
            if objdump -D $fileNameLine | grep $sensitiveLine
            then
				printf "objdump match sensitivefileName is %s\n" $fileNameLine >> sensitiveResult
                #$fileNameLine > result
            fi
        done
    done
}

findELF

findSensitiveBy_cat ELF
findSensitiveBy_nm ELF
findSensitiveBy_readelf ELF
findSensitiveBy_objdump ELF